espcms代码审计第一弹

以前的代码审计都是在CTF比赛题里面进行对于某一段代码的审计，对于后端php整体代码和后端整体架构了解的却很少，所以有空我都会学习php的代码审计，以提高自己

环境就直接用的是phpstudy，学习的前期对于环境的搭建以能够满足我们学习的需求即可，没有必要将每个组件分开安装，反而本末倒置了。

使用的代码审计工具是 Seay源代码审计系统

同时参考书籍也是尹毅的 《代码审计-企业级web代码安全架构 》

作者的博客:

https://seay.me/

espcms是2014版本的。

我们使用seay代码审计工具

常见的代码审计思路有以下四种：

1，根据敏感关键词回溯参数传递过程
2，查找可控变量，正向追踪变两个传递过程
3，寻找敏感功能点，通读功能点代码
4，直接通读全文代码

espcms的代码审计，我们跟书中一样，使用对于敏感函数回溯参数过程。

先按照书上审计的过程走一遍，我们再自己根据敏感函数寻找一些漏洞

我们找到

22条提示我们可能存在sql注入漏洞，继而我们点击该条

可以看到这里将我们传入的$parentid代入$sql语句中进行查询，而$parentid变量的值是在oncitylist()函数里面没有进行设么过滤，传参过来的函是accept()

这里仅对$parentid变量进行了是否为空的检测。

右键定位accept()函数

可以看到accept函数里面的内容

在这个位置对于输入的$k进行了daddslashes函数，daddslashes函数实际上是包装之后的addslashes函数

即对于我们输入的parentid参数输入的单引号等预定义字符进行过滤，不过之前的$sql语句里面我们发现

我们可以可以发现对于$parentid参数没有单引号进行闭合,所以 daddslashes 实际上没有起到任何作用。

如果这个语句写成下边这种情况：

$sql = "select * from $db_table where parentid='$parentid'";

同时还是像之前一样使用了addslashes()函数，那么除非有宽字节注入或者其他的特殊情况，不然我们就不能进行注入了。

我们发现这里有注入之后，可以看到该函数在important这个类里面

于是我们全局变量搜索出现了important类的位置，重点关注的是new 了important类的地方

可以看到在adminsoft/index.php这个页面new 了important这个类

点击之后可以看到在index.php页面$archive和$action这两个变量都有默认的值，我们在本地搭建的网站不输入参数直接访问就可以看到（当然在代码的逻辑里面也可以很清楚看出）

可以看到当我们没有任何参数输入的时候，archive=adminuser&action=login

但是实际上我们是想

调用important类里面的oncitylist函数，同时传递一个parentid的值。

在这里传入的$action与’on’字符串进行连接，组合成为新的$action，所以我们传入的$action=citylist，这里我们令$archive也为citylist，本来觉得archive为何值不重要，不过用其他array组里面的值就会报错，应该是代码里面其他地方做了限制。

因为是在admin的界面下进行的注入，所以我们需要先登录，再在url输入我们构造的payload

现在可以看到已经出现了citylist

不过我们的目的是传递parentid参数，

因为我们访问成功之后实际上已经调用了important类里面的oncitylist方法，不过因为我们没有主动传递parentid的值，所以其默认为1而已。

于是我们手动使用get方法传递parentid的值

构造payload之后，我们可以看到现在返回页面的citylist只剩下了北京，根据我们之前的分析，此处parentid存在不需要单引号闭合的sql注入漏洞，于是我们开始常规注入

字段数为5

回显位置: 3

在3的位置查询数据库名字和用户名

OK，跟着书上的漏洞复现成功，第一弹结束，第二弹的分析过程就自己分析吧，站在巨人的肩膀上固然会看的很远，但是更需要自己向上攀登才能到达更远的地方